Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Katana, nueva variante de la Botnet MiraiEn el monitoreo realizado por el equipo del Csirt Financiero se ha detectado una nueva variante de la botnet Mirai denominada Katana. Esta nueva variante se encuentra en desarrollo y se está utilizando para infectar cientos de aparatos interconectados o Internet de las Cosas (IoT) al día.http://csirtasobancaria.com/Plone/alertas-de-seguridad/katana-nueva-variante-de-la-botnet-miraihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero se ha detectado una nueva variante de la botnet Mirai denominada Katana. Esta nueva variante se encuentra en desarrollo y se está utilizando para infectar cientos de aparatos interconectados o Internet de las Cosas (IoT) al día.
Vulnerabilidad en Windows permite acceder como administradorEn el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado una reciente vulnerabilidad que explota el kernel de Windows para acceder con privilegios de administrador a los equipos de cómputo vulnerados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-windows-permite-acceder-como-administradorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado una reciente vulnerabilidad que explota el kernel de Windows para acceder con privilegios de administrador a los equipos de cómputo vulnerados.
Nuevas funcionalidades del troyano de banca móvil WrobaEn el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado nueva actividad del troyano denominado Wroba, el cual ha enfocado sus ataques en la banca móvil. Las nuevas funcionalidades se detectaron en Estados Unidos el pasado 29 de octubre del 2020, fecha en que los ataques cibernéticos fueron dirigidos a usuarios con equipos móviles Android y iPhone, mediante mensajes de texto con temáticas de interés y de urgencia, intentan presionar al usuario a que abra un enlace malicioso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-funcionalidades-del-troyano-de-banca-movil-wrobahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado nueva actividad del troyano denominado Wroba, el cual ha enfocado sus ataques en la banca móvil. Las nuevas funcionalidades se detectaron en Estados Unidos el pasado 29 de octubre del 2020, fecha en que los ataques cibernéticos fueron dirigidos a usuarios con equipos móviles Android y iPhone, mediante mensajes de texto con temáticas de interés y de urgencia, intentan presionar al usuario a que abra un enlace malicioso.
Ciberdelincuentes utilizan el estacionamiento de dominios para distribuir malwareEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la implementación de servicios de estacionamiento de dominios utilizados para la monetización a través de anuncios de terceros y distribución de malware. El estacionamiento de dominios es un método para utilizar un dominio que redireccione todas las visitas a otro dominio especifico.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-utilizan-el-estacionamiento-de-dominios-para-distribuir-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la implementación de servicios de estacionamiento de dominios utilizados para la monetización a través de anuncios de terceros y distribución de malware. El estacionamiento de dominios es un método para utilizar un dominio que redireccione todas las visitas a otro dominio especifico.
Aumento en los ataques de Smishing a nivel globalEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el incremento de ataques conocidos como Smishing. Frente a este tipo de ataques, los ciberdelincuentes realizan el envío de mensajes de SMS en el que incluyen falsos enlaces a sitios web que redirigen a sitios maliciosos para captura de credenciales, descarga o propagación de malware. Aunque este tipo de ataques viene en un constante incremento, la situación mundial de la pandemia a causa del Covid-19 generó un aumento del 29% entre los meses de marzo y julio del presente añohttp://csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-en-los-ataques-de-smishing-a-nivel-globalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el incremento de ataques conocidos como Smishing. Frente a este tipo de ataques, los ciberdelincuentes realizan el envío de mensajes de SMS en el que incluyen falsos enlaces a sitios web que redirigen a sitios maliciosos para captura de credenciales, descarga o propagación de malware. Aunque este tipo de ataques viene en un constante incremento, la situación mundial de la pandemia a causa del Covid-19 generó un aumento del 29% entre los meses de marzo y julio del presente año
Biblioteca maliciosa de JavaScript abre puertas traserasEn el monitoreo realizado por el equipo del Csirt Financiero se conoció la actividad relacionada con la creación de una biblioteca maliciosa llamada twilio-npm, dicha biblioteca se publicó el pasado 30 de octubre del 2020 en el sitio NPM y pese a que se retiró del portal el mismo día a su descubrimiento, se pudo detallar que se descargó más de 370 veces; además de incluirse en los proyectos de JavaScript creados y administrados desde Node Package Manager (NPM).http://csirtasobancaria.com/Plone/alertas-de-seguridad/biblioteca-maliciosa-de-javascript-abre-puertas-traserashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero se conoció la actividad relacionada con la creación de una biblioteca maliciosa llamada twilio-npm, dicha biblioteca se publicó el pasado 30 de octubre del 2020 en el sitio NPM y pese a que se retiró del portal el mismo día a su descubrimiento, se pudo detallar que se descargó más de 370 veces; además de incluirse en los proyectos de JavaScript creados y administrados desde Node Package Manager (NPM).
Vulnerabilidades ZeroDay en Google ChromeEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado una nueva actualización que Google ha realizado sobre el navegador web Chrome, solucionando varias vulnerabilidades incluidas dos Zero Day identificadas como CVE-2020-16009 (enfocado al navegador de escritorio para Windows Linux y Mac) y CVE-2020-16010 (enfocado al navegador para dispositivos Android). La nueva actualización estará disponible para su descarga los próximos días.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-zeroday-en-google-chromehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado una nueva actualización que Google ha realizado sobre el navegador web Chrome, solucionando varias vulnerabilidades incluidas dos Zero Day identificadas como CVE-2020-16009 (enfocado al navegador de escritorio para Windows Linux y Mac) y CVE-2020-16010 (enfocado al navegador para dispositivos Android). La nueva actualización estará disponible para su descarga los próximos días.
Infostealer Kpot la nueva herramienta del grupo RevilEl equipo del Csirt Financiero ha evidenciado que el grupo de ciberdelincuentes denominados REvil quienes son los autores detrás del ransomware Sodinokibi, han adquirido la última versión del InfoStealer KPOT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/infostealer-kpot-la-nueva-herramienta-del-grupo-revilhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado que el grupo de ciberdelincuentes denominados REvil quienes son los autores detrás del ransomware Sodinokibi, han adquirido la última versión del InfoStealer KPOT.
Grupo cibercriminal utiliza herramientas para implantar ransomwareEn el monitoreo a fuentes abiertas de información, el equipo del Csirt financiero ha identificado un grupo APT denominado PyXie o GOLD DUPONT, el cual ha realizado campañas de infección con ransomware a múltiples empresas de sectores como tecnología, salud, educación y entidades gubernamentales desde el año 2018. Este grupo cibercriminal se ha caracterizado por tener un bajo perfil, ser lento y cauteloso en cada una de sus campañas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-cibercriminal-utiliza-herramientas-para-implantar-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt financiero ha identificado un grupo APT denominado PyXie o GOLD DUPONT, el cual ha realizado campañas de infección con ransomware a múltiples empresas de sectores como tecnología, salud, educación y entidades gubernamentales desde el año 2018. Este grupo cibercriminal se ha caracterizado por tener un bajo perfil, ser lento y cauteloso en cada una de sus campañas.
Backdoor ModPipe afecta a clientes de Oracle Micros RES 3700 POSEn el monitoreo a fuentes abiertas, el equipo del Csirt financiero ha observado el accionar de un backdoor modular con altas capacidades de afectación sobre el software Oracle Micros RES 3700 POS (Suite integrada de software para restaurantes). Los ciberdelincuentes al comprometer los sistemas pueden recopilar contraseñas de bases de datos, descifrándolas directamente de los valores de registro de Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-modpipe-afecta-a-clientes-de-oracle-micros-res-3700-poshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt financiero ha observado el accionar de un backdoor modular con altas capacidades de afectación sobre el software Oracle Micros RES 3700 POS (Suite integrada de software para restaurantes). Los ciberdelincuentes al comprometer los sistemas pueden recopilar contraseñas de bases de datos, descifrándolas directamente de los valores de registro de Windows.
APT Blacktech utiliza diferentes herramientas de malwareEl equipo del Csirt Financiero ha identificado que el grupo APT BlackTech o Palmerworm ha tenido actividad reciente que permite observar importantes capacidades para generar afectación en el sistema operativo Windows y en el kernel de Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/apt-blacktech-utiliza-diferentes-herramientas-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado que el grupo APT BlackTech o Palmerworm ha tenido actividad reciente que permite observar importantes capacidades para generar afectación en el sistema operativo Windows y en el kernel de Linux.
Chaes, nuevo malware que ataca plataformas de comercio electrónico en América LatinaEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo malware que afecta a sistemas operativos Windows denominado Chaes, el cual tiene como objetivo capturar y exfiltrar información financiera de los clientes de comercio electrónico en Brasil direccionando sus ataques a la plataforma de subastas MercadoLivre.http://csirtasobancaria.com/Plone/alertas-de-seguridad/chaes-nuevo-malware-que-ataca-plataformas-de-comercio-electronico-en-america-latinahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo malware que afecta a sistemas operativos Windows denominado Chaes, el cual tiene como objetivo capturar y exfiltrar información financiera de los clientes de comercio electrónico en Brasil direccionando sus ataques a la plataforma de subastas MercadoLivre.
Ranzy ransomware actualiza características de ThunderxEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el surgimiento de Ranzy una nueva amenaza ofrecida como RaaS (Ransomware como Servicio) derivada de ThunderX. El cambio que los ciberdelincuentes han realizado a este ransomware se debe al desarrollo y publicación de herramientas de descifrado gratuito para ThunderX.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ranzy-ransomware-actualiza-caracteristicas-de-thunderxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el surgimiento de Ranzy una nueva amenaza ofrecida como RaaS (Ransomware como Servicio) derivada de ThunderX. El cambio que los ciberdelincuentes han realizado a este ransomware se debe al desarrollo y publicación de herramientas de descifrado gratuito para ThunderX.
Vulnerabilidades críticas en VMwareEn el monitoreo realizado por el Csirt Financiero, se ha observado una vulnerabilidad critica con los productos de software VMware ESXi, VMware Workstation Pro / Player (estación de trabajo), VMware Fusion Pro / Fusion y Fundación VMware Cloud. Las vulnerabilidades han sido denominadas con los códigos CVE-2020-4004 y CVE-2020-4005.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-criticas-en-vmwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha observado una vulnerabilidad critica con los productos de software VMware ESXi, VMware Workstation Pro / Player (estación de trabajo), VMware Fusion Pro / Fusion y Fundación VMware Cloud. Las vulnerabilidades han sido denominadas con los códigos CVE-2020-4004 y CVE-2020-4005.
Vulnerabilidad de seguridad en productos VMwareEl equipo del Csirt Financiero en su constante monitoreo evidenció la publicación de una vulnerabilidad sobre productos de VMware. Identificada como CVE-2020-4006, a la cual se le otorga alto nivel de criticidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-seguridad-en-productos-vmwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero en su constante monitoreo evidenció la publicación de una vulnerabilidad sobre productos de VMware. Identificada como CVE-2020-4006, a la cual se le otorga alto nivel de criticidad.
Actor de amenaza vende acceso a más de 5000 enrutadores ClaroEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la venta de credenciales para el inicio de sesión en más de 5000 Routers operados por el proveedor de servicios de internet colombiano Claro.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actor-de-amenaza-vende-acceso-a-mas-de-5000-enrutadores-clarohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la venta de credenciales para el inicio de sesión en más de 5000 Routers operados por el proveedor de servicios de internet colombiano Claro.
Nuevos indicadores de compromiso asociados a NjRATNjRAT es un malware utilizado en gran cantidad de campañas alrededor del mundo, se ha distribuido por varios métodos y cuenta con capacidades para exfiltrar información sensible de los usuarios en el equipo infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-njrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
NjRAT es un malware utilizado en gran cantidad de campañas alrededor del mundo, se ha distribuido por varios métodos y cuenta con capacidades para exfiltrar información sensible de los usuarios en el equipo infectado.
Malware Bandook apunta a múltiples sectoresEn el monitoreo realizado por el Csirt Financiero, se evidencio una nueva ola de ataques dirigidos a múltiples industrias en las que se ha implementado una versión reestructurada del troyano de puerta trasera Bandook.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-bandook-apunta-a-multiples-sectoreshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se evidencio una nueva ola de ataques dirigidos a múltiples industrias en las que se ha implementado una versión reestructurada del troyano de puerta trasera Bandook.
Grupo Fxmsp comercializa credenciales corporativas a nivel mundial.Un actor conocido como Fxmsp fue identificado entre 2017 y 2019 realizando ventas en foros rusos de la deep web. Las ventas se trataban de accesos a redes corporativas de diferentes países y sectores, encontrándose entre ellos algunas entidades del sector financiero y una de Colombia no identificada.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-fxmsp-comercializa-credenciales-corporativas-a-nivel-mundialhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un actor conocido como Fxmsp fue identificado entre 2017 y 2019 realizando ventas en foros rusos de la deep web. Las ventas se trataban de accesos a redes corporativas de diferentes países y sectores, encontrándose entre ellos algunas entidades del sector financiero y una de Colombia no identificada.
Ataques de Jackpotting en máquinas ATM DieboldEl equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, una advertencia producida por la compañía Diebold Nixdorf de ataques Jackpotting sobre máquinas ATM en varios países europeos. La técnica de jackpotting consiste en tener acceso físico de la máquina ATM para alcanzar los puertos USB o unidad de CD-ROM, con el fin de infectarlo y forzarlo a expulsar el dinero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_emotet-despliega-malspam-despues-de-5-meses-de-ausenciahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, una advertencia producida por la compañía Diebold Nixdorf de ataques Jackpotting sobre máquinas ATM en varios países europeos. La técnica de jackpotting consiste en tener acceso físico de la máquina ATM para alcanzar los puertos USB o unidad de CD-ROM, con el fin de infectarlo y forzarlo a expulsar el dinero.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}